Nos
vamos a referir en esta entrega a varios documentos; a saber: la Norma Técnica
de Auditoría (NTA) ICAC/29-9-2002 sobre la auditoría de cuentas
en entornos informatizados, y, sucintamente, a la ley nº 44/2002 llamada
Financiera -que como su nombre indica es más que financiera-, a la
propuesta de Código de Sociedades Mercantiles de 16-5-2002, al documento
AECA/11-2002 -iniciático de la Comisión de Nuevas Tecnologías
(¿nuevas todavía?)- titulado Código de buenas
prácticas para la divulgación financiera en Internet,
y al Informe Aldama, de 8-1-2002, tan esperado y, en mi opinión,
tan decepcionante.
Entremos en el asunto: el ICAC ha sometido a información pública
la NTA sobre auditoría de cuentas en entornos informatizados, versión
española de la Norma Internacional IFAC/401, Auditoría
en un contexto informatizado, que en mi opinión tiene un contenido
no del todo cosmético.
En primera aproximación y matizando los aspectos básicos de
independencia y responsabilidad, y, por supuesto, enfatizando el control
interno, el auditor parece configurarse como un equipo multidisciplinar.
Nos basamos para sostener esta opinión en los siguientes párrafos
de la norma:
1.-El auditor debe tener el conocimiento suficiente de los sistemas
informáticos, que le permita planificar, dirigir, supervisar y revisar
el trabajo realizado. Debe evaluar si es necesario para la auditoría
disponer de conocimientos especializados sobre esta materia que...
2.-Si el auditor estima que se requieren conocimientos específicos
para cubrir los aspectos... indicados, podrá obtener asesoramiento
de otros profesionales que los poseen, bien de su propia organización
o bien ajenos a la misma.
3.- La aparición de nuevas tecnologías informáticas,
aumenta la sofisticación global del sistema informático y
la complejidad de sus aplicaciones específicas. Como resultado, pueden
verse incrementados los riesgos inherentes y de control.
4.-...Los métodos para obtener la evidencia de auditoría
adecuada y suficiente, pueden verse influenciados por los procesos informáticos. |
La
verdad sea dicha es que nunca antes se han necesitado tanto auditores informáticos
con conocimientos en técnicas de auditoría y en TIC. Obviamente,
la auditoría informática sin más se ha convertido hoy
en una actividad generalista que, al menos en lo que respecta a la seguridad
de la información y a los riesgos de seguridad, demanda profesionales
con conocimientos muy actualizados de herramientas tecnológicas y
su integración. También, por supuesto, de legislación.
La auditoría, así, sin más coletillas, contempla la
empresa como un todo y desde múltiples puntos de vista, esto es,
la imagen fiel de la empresa, no de un solo aspecto, sea o no importante.
Parece lógico pensar, por tanto, que el equipo de auditoría,
multidisciplinar por supuesto, debería estar compuesto por un auditor
jefe, generalista, que sabe casi nada sobre casi todo y por
especialistas/auditores o expertos, que saben casi todo sobre casi
nada, además del personal de apoyo. En el grupo de los que
saben casi todo sobre casi nada, y en el contexto de la auditoría
sin apellidos, es donde deben tener su sitio obligadamente algunos profesionales
de la seguridad de la información. Ojo, que estamos hablando de auditoría
y no de otros escenarios en los que, claro está, estos profesionales
son tanto o más necesarios.
La NTA sobre Auditoría de entornos informatizados casi cierra el
ciclo de normas técnicas de auditoría en España, junto
a otras tantas ya existentes como las referidas a auditoría interna,
manifestaciones de la dirección, importancia relativa, relación
entre auditores, aspectos medioambientales, errores e irregularidades, y
cumplimiento de la normativa aplicable a la entidad auditada, por mencionar
las más destacadas y de obligatorio cumplimiento.
Internet e información financiera
Toca ahora mencionar casi de pasada otros documentos, como por ejemplo la
ley financiera, que entre otros aspectos crea las comisiones de auditoría,
acepta la auditoría interna y respecto a la externa, unifica el acceso
al ROAC; incluye la formación continuada obligatoria; introduce nuevas
incompatibilidades para acentuar la independencia (servicios de diseño
y puesta en práctica de sistemas TI financiera, servicios de valoración,
auditoría interna...); indica que la responsabilidad civil afectará
sólo solidariamente al auditor firmante del informe y a la sociedad
de auditoría; y aclara que la documentación (papeles de trabajo)
podrá accederse por el ICAC, resolución judicial, Banco de
España, CNMV y Dirección General de Seguros y Fondos de Pensiones,
autorizados por Ley y Corporaciones de auditores (sólo para control
de calidad de sus miembros). No diremos más sobre esta pieza legal.
Hay otro documento de interés, el Código de buenas prácticas
para la divulgación de información financiera en Internet
de AECA, una entidad estructurada en comisiones con solera e influencia
doctrinal en los temas alusivos a la administración de empresas.
El Código trata en primera aproximación pero con rigor, los
siguientes aspectos: seguridad, enlaces, errores, los servicios de certificación,
el papel de los auditores, las expectativas de los usuarios, el glosario
de términos y el cuestionario de autoevaluación.
Sobre el Informe Aldama, en politiqués Informe de la Comisión
Especial para el fomento de la transparencia y seguridad en los mercados
y en las sociedades cotizadas, únicamente diremos que es un
ejemplo de norma blanda, aunque toca aspectos que afectan de manera decisiva
a las TIC y específicamente a la seguridad; me refiero al epígrafe
2.2, Los instrumentos de información sobre gobierno corporativo,
en general, y más en particular al punto 2.2b, La página
web de la sociedad, en el que se propone un imaginativo sistema interactivo
consejo de administración/accionistas vía Internet que, en
mi modesta opinión, el estado del arte, especialmente legislativo,
no permite hoy.
Para finalizar este rapidísimo vuelo por leyes y normas, vamos a
mencionar dos asuntos curiosos: el proyecto de voto electrónico de
los accionistas en las juntas generales, preconizado en la propuesta de
Código de Sociedades Mercantiles de la Comisión General de
Codificación (11-2002) recordemos al respecto que ya tenemos
en este país experiencia de voto electrónico en algunos ámbitos
(ver páginas 30 y 32 de SIC nº 51), y la iniciación
por parte de ENAC de una campaña de vigilancia para controlar el
uso de las marcas de certificación (ISO 9000:2000), según
informa la publicación AEC.
¿Pasará algo? |